이벤트 로그 (참고) [지속수정]

- USB, 외장 하드 디스크와 휴대폰 같은 외부저장장치 (Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx)

 

(그 중에 이벤트 ID 2003, 2101 을 통해 장치에 대한 레지스트리 키 정보를 알아낼 수 있다.)

아쉽게도 내 PC에는 Microsoft-Windows-DriverFrameworks-UserMode/Operational.evtx 이 없었다.
왜지... 아마 윈도우 버전에 따라 남기는 이벤트 로그가 달라서 그런듯하다.
내 PC는 윈도우 11이고 논문은 2018년에 작성 되었으므로 10이하일 것으로 추측이 된다...

인줄 알았는데 알고보니까 로그 활성화가 안되어있던 것 같다.

그렇단말이지

로깅 사용으로 바꿔줬다.
이제 시간 지나면서 외부저장장치를 사용하다보면 언젠가 쌓인 로그들을 보면서 분석과 증명이 가능하겠다.

로깅 설정하고 자고 일어나서 파일을 확인해보니 해당 이벤트로그 파일이 만들어졌다.

 

- 저장장치가 처음 연결되는 경우 드라이버가 필요하게 된다. (System.evtx, DriverFrameworks-UserMode/Operational.evtx)

 

저장장치가 연결되었음을 입증하기 위해서 드라이버가 어느 시기에 처음 설치되었는지 이벤트 로그를 분석할 수 있다.

(이는 System.evtx 파일에 이벤트 ID 10000, 20001, 20003 이다.)

실제로 System.evtx 의 이벤트 ID 10000, 20001, 20003 만 필터링하여 확인해본 결과
USB의 경우 Vender 값과 기기고유 값이 존재했고,
전체적인 외부저장장치에는 8-4-4-4-12로 GUID를 구분하여 해당 고유 외부저장장치를 구분하여 드라이버를 설치했음을 알아낼 수 있다.

- 응용 프로그램에 관한 이벤트 로그 (Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx)

이전에 프로젝트하면서 찾아낸 것과 비슷한 예시가 해당 논문에 적혀있었다.

TeamViewer 의 호스트 쪽의 ID 값을 레지스트리나 TeamViewer의 로그파일에서 찾아낼 수 있었다.
이처럼 응용 프로그램에 관련된 흔적을 남기는 이벤트 파일이 존재하는데,

이 이벤트 로그 또한 윈도우 버전에 따라서 이벤트 로그명이 다르다.

Windows 7 기준 이벤트 로그명은 Application-Experience/Program-Inventory.evtx 이다.

근데 Windows 11인 내 컴퓨터에도 존재한다.

903과 904 이벤트 ID는 응용 프로그램이 설치되었을 시기에 만들어지는 로그로
이름, 버전, 출처자에 대해 남는다.
하지만 Windows10 이후로는 이 이벤트 로그 파일은 사용하지 않는다.

대신 Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx 를
Windows 10/11 에서 응용 프로그램 설치 관련 이벤트 로그로 사용한다.

Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx 에서 주목할만한 이벤트 ID 값은 17이다.
실제로 내 노트북의 이벤트 로그를 확인해보면 ID 값이 17인 이벤트 로그밖에 남아있지 않다.
이벤트 로그 ID 17는 해당 프로그램의 설치 경로, 승인 드라이버 이름에 대한 흔적이 남는다.

내가 노트북 받았을 때 바로 설치한 프로그램은 아마 카카오톡인가보다.
그리고 카카오톡의 승인 드라이버 이름은 DetectorShim_KernelDriver 이다.

그 외에도 Microsoft Office Alerts.evtx 이벤트 로그도 존재하며 유의미한 이벤트 ID는 300 이라고 설명한다.
※ Microsoft Office Alerts.evtx 은 Windows 11 기준으로 OAlerts.evtx로 이름이 바뀌어서 기록된다.

 

이벤트 ID 또한 300 만 기록되며, 

사진과 같이 MS Office 프로그램의 종류에 따라 P1, P2, P3...등을 인자로 사용하여 변화를 기록한다.
논문에서는 해당 Compositor Type에 대한 설명이 없어서 직접 구글링을 해서 정리해보려했는데

없다. 이 이상 더 파고들면 너무 오래걸린다.

논문의 래퍼런스들 중에 Event Log Explorer 라는 도구가 있어서 확인해보니까 해당 인자들은 (null)로 표기가 되었다.
내가 보기엔 그냥 해당 MS Office 프로그램이 언제 실행되었는지 정도로만 척도로 사용할 수 있을듯하다...

혹시 자세히 아시는 분 알려주세여

- 공유 폴더 (Security.evtx)

공유 폴더의 종류는 참 많다.
ftp 서버를 통한 공유 폴더 형식으로 사용도 가능할 것이고....
구글 드라이브를 통해서 사용하는 것도 이렇게 표현이 가능할듯하네
이에 대한 이벤트 로그가 남는다는게 신기하다.
아마 아래 논문을 계속 읽다보면 어떠한 기준으로 이벤트 로그를 남기는지 알겠지.

해당 글에서는 Security.evtx 에서 이벤트 ID 값 4656, 4663, 5140 에 대해서 설명한다.
내 노트북 기록에는 해당 ID 이벤트 값이 없다...

공유 폴더가 정확하게 어떠한 프로그램의 유형까지 일컫는지도 모르겠어서 실험도 못하겠다...

- 공유 폴더 (SMBClient\Connectivity.evtx)

SMBClient\Connectivity.evtx 파일도 공유와 관련된 이벤트 로그가 많이 남아있다.

일단 파일을 열어보니까 방금 전에 순욱이랑 공부 파일 공유한다고 블루투스 연결한 기록이 바로 나와서 좀 웃겼음.

근데 여기에도 논문에서 말한 이벤트 로그는 없어...하....

실제 회사 컴퓨터를 직접 열어볼 수 있으면 좋겠다.
그러면 해당 이벤트 로그를 직접 볼 수 있고, 어떠한 프로그램에 의해서 이벤트 로그가 기록 되었는지도 알 수 있으니까...

※ 이 이벤트 로그명부터 나오지만 SMBClient 라고 Samba에서 제공하는 SMB 프로토콜을 이용하여 네트워크 상의 파일 및 프린터 공유에 의한 Command Line Interface 를 기준으로 이벤트 로그가 기록된다.
그래서 아래의 설명은 공유 폴더와 같은 맥락에서만 이벤트 로그가 남으므로 평범한 가정용 컴퓨터에서는 로그가 남지 않는듯하다.

30804 는 네트워크 연결이 끊어짐 (서버 이름과 ip주소 포함)
30805 는 클라이언트가 서버에 대한 세션을 잃음 (서버 이름과 ip주소 포함)
30806 는 클라이언트가 서버에 대한 세션을 다시 설정 (서버 이름과 ip주소 포함)
30807 는 공유에 대한 연결이 끊어짐 (공유 이름)
30808 는 공유에 대한 값을 다시 설정 (공유 이름과 ip 주소 포함)

이렇게 정리가 될듯하다.

- 프린터 사용 (PrintService/Operational.evtx)

문서에 대한 출력 또한 이벤트 로그에 기록된다.

 

PrintService/Operational.evtx 에 기록되는데 난 노트북으로 무언가를 프린트 해본적이 단 한번도 없어서 집에가서 데탑의 이벤트 로그로 확인해봐야겠다.
(이 이벤트 로그는 기본적으로 로깅 활성화가 되어있지 않는듯하다. 그래서 켜주고 프린트하고 이벤트 로그를 확인해보았다. <Windows 10 기준이다.>)

307은 문서 인쇄에 관한 이벤트로 소유자, 위치, 바이트 크기, 페이지 장 수에 관해 기록된다.

소유자는 인쇄를 명령한 사용자
위치는 컴퓨터 이름이다.

801은 인쇄 중일 때 남는 이벤트 ID 값이고,

802는 인쇄가 종료됨을 알려준다.

842번 이벤트 ID는 인쇄 작업이 프린트 프로세스나 프린터에게 전달되었음을 나타내는데,

어제 직접 프린트할 때 나온 화면

왼쪽에 있는 Samsung M262x 282x Series 는 프린터기를 사용하는데 필요한 드라이버이고,

SEC8425199D1B44 는 프린터기의 고유식별번호인듯하다.

(Windows 7의 경우는 문서의 이름과 응용 프로그램 정보를 추가적으로 표기함)

- Host PC -> Guest PC (원격 연결/해제) <Guest 기준> (잠시보류 : 원격 연결 응용 프로그램 경우의 수, 로그 표기X)

Guest 입장에서 원격 연결과 해제를 할 경우 남는 이벤트 로그 중 Microsoft-Windows-RDPClient/Operational.evtx. 부터 알아보자.

 

- Guest PC -> Host PC (원격 연결/해제) <Host 기준> (잠시보류 : 원격 연결 응용 프로그램 경우의 수, 로그 표기X)

 

- PC 시작

어떻게보면 실무도 그렇고, 기본적으로 디포2급에서도 나올법한 이벤트 로그이다.
요건 사실 레지스트리에도 존재하는 값이고, 아마 이벤트 로그 값 또한 레지스트리의 값과 같은 값일 것이다.

Event ID 12는 운영체제 시작 시각
Event ID 6013은 운영체제 경과 시간이다.

운영체제의 시작 시각은 2024/10/24 13시 23분 33초 이다.

운영체제의 작동 시간은 2024/10/24 13시 23분 47초이다
시스템 작동 시간이 14초라고 적혀있다.
딱 맞아떨어진다.

※ 시스템 작동 시간에 대한 기록은 통상적으로 낮 12시에 주기적으로 이뤄진다.

- PC 종료

PC 종료에 관한 이벤트 로그도 비슷하게 나온다.

Event ID 13은 운영체제 시스템이 종료된 시각
Event ID 1074는 컴퓨터 종료, 다시 시작에 관한 로그와 종료 유형 및 이유에 대해 기록한다.

위에 PC의 작동 시간 이후 몇초 이후 운영체제가 종료되었음이 보인다.

작동 시간이 기록된 시간 : 2024/10/24 13시 23분 47초
운영체제가 종료된 시간 : 2024/10/24 13시 24분 31초

그러고나선 오후 11시 42분 38초에 다시 운영체제가 시작되었고,
다음날인 오전 12시 06분 59초에 시스템 종료된 이유 종료 혹은 다시시작이 적혀있는 Event ID 1074가 존재한다.

RuntimeBroker.exe는 Windows Store 의 앱에 대한 PC의 사용 권한 관리 프로세스라고한다.

근데 이게 어째서 전원을 종료한 것이지..?
구글링해도 종료에 관한 정보는 없어보이는데 뭘까
나중에 물어봐야겠다.

 

 

 

 

출처 ) https://koreascience.kr/article/JAKO201820765436652.pdf